Entenda seus direitos e nossas responsabilidades em um só lugar
Política de Segurança
Introdução
Propósito do Documento
O objetivo deste documento é resumir os controles técnicos, organizacionais e físicos e práticas de segurança aplicadas dentro da infraestrutura da ESET, que inclui o portfólio da ESET, ou seja, produtos, aplicativos, soluções e serviços da ESET (doravante referidos como Produto). Medidas de segurança, controles e políticas são projetados para proteger
•Operação de portfólio da ESET e processamento de dados em ambientes locais ou em nuvem
•confidencialidade, integridade e disponibilidade dos dados do cliente
•informações do cliente de destruição ilegal, perda, alteração, divulgação ou acesso não autorizados
A ESET pode atualizar este documento e as medidas, controles e políticas específicas que os regem para atender a ameaças em evolução e adaptar-se à tecnologia de segurança e aos padrões da indústria em desenvolvimento.
Público
Este documento deve ser lido por qualquer pessoa que precise de garantia na área de segurança do portfólio da ESET ou pelo Cliente que pretende usar as soluções ou serviços da ESET por meio da integração com seu ambiente.
Contexto, conceito e escopo
A empresa ESET, spol s r.o. é certificada pela ISO 27001:2022 com um sistema de gerenciamento integrado.
Portanto, o conceito de gerenciamento de segurança da informação usa a estrutura do ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança em todas as camadas da pilha de arquitetura do sistema de informações, como por exemplo rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. As práticas de segurança aplicadas e controles de segurança têm como objetivo se sobrepor e se complementar.
O escopo deste documento é resumir as medidas técnicas e organizacionais implementadas para o portfólio da ESET, organização, pessoal e processos operacionais.
Práticas e controles de segurança incluem governança e medidas técnicas, incluindo, sem limitação:
•Políticas de segurança da informação
•Organização da segurança da informação
•Segurança de recursos humanos
•Controle de Acesso
•Criptografia
•Segurança física e ambiental
•Proteção de dados, segurança de rede, segurança de aplicativo
•Segurança operacional
•Segurança de comunicações
•Aquisição, desenvolvimento e manutenção do sistema
•Relação de fornecedor
•Gerenciamento de incidentes de segurança de informações
•Aspectos de segurança de informação do gerenciamento de continuidade dos negócios
•Compliance
Abreviaturas
Abreviatura Termo |
Termo completo |
|---|---|
Empresa |
ESET, spol. s r. o. |
CSP |
Provedor de serviço de nuvem |
DR |
Recuperação de desastres |
ESET |
ESET, spol. s r. o. |
GDPR |
Regulamento Geral de Proteção de Dados |
TIC |
Tecnologias da informação e comunicação |
IR |
Resposta a incidentes |
IS |
Segurança de informações |
ISMS |
Sistema de gerenciamento de segurança de informações |
TI |
Tecnologia da informação |
NIS |
Lei de segurança cibernética que transpõe a Diretiva de segurança de redes e informações |
PKI |
Infraestrutura de chave pública |
Produto |
Portfólio ESET – ou seja, produtos, aplicativos, plataformas de nuvem, soluções e serviços da ESET, além deles. |
SIEM |
Informações de segurança e gerenciamento de eventos |
SSDLC |
Ciclo de vida seguro do desenvolvimento de software |
QMS |
Sistema de Gerenciamento de qualidade |
Observação: Escrito em itálico – usado para nomes de documentos internos da Empresa referenciados, não disponíveis ao público, por exemplo, Política sobre Regulamento Interno
Governança de Segurança
Programa de gerenciamento de segurança de informações
A empresa ESET estabeleceu e mantém um quadro de programa de gerenciamento de segurança da informação como função interorganizacional orientando a proteção de ativos de informação. A documentação de segurança da informação é guiada por políticas, processos e documentação de segurança por meio da Política de Regulamentos Internos. A ESET adotou a Política de Sistema de Gerenciamento Integrado que serve como um nível superior
•Política ISMS,
•Política de QMS e
•Política de segurança da informação
A ESET adere à sua Política sobre o Sistema de Gerenciamento Integrado, definindo o quadro para gerenciamento de qualidade e segurança da informação. Esta política é de propriedade do Diretor de Segurança de Informações (CISO) da ESET e representa o compromisso gerencial de alto nível com a segurança e qualidade. Define responsabilidades para a gestão e garantia desses domínios e descreve o compromisso da ESET de avaliar e melhorar continuamente a eficácia de seu sistema de gerenciamento em conformidade com os padrões ISO 9001 e ISO 27001.
As políticas corporativas são documentadas, mantidas e revisadas anualmente, e são atualizadas depois de alterações significativas para garantir sua adequação e eficácia contínuas. As atualizações são comunicadas ao pessoal interno, onde as políticas estão disponíveis para todos os funcionários. As políticas são formalmente adotadas, assinadas pelo CEO, publicadas e comunicadas a todos os funcionários e partes relevantes. As políticas são formalmente reconhecidas pelos funcionários da ESET ao entrar.
Além das políticas, as equipes de Segurança da Informação e Segurança Técnica da ESET projetaram processos, procedimentos, padrões e linhas de base de configuração com base nas melhores práticas de segurança da indústria e do fornecedor (por exemplo, benchmarks CIS, OWASP, NIST). Esses são fornecidos às equipes de TI e Tecnologia para garantir o desenvolvimento, configuração e operação seguras de sistemas de informação e produtos da ESET.
A ESET mantém uma documentação de governança interconectada, projetada e disponibilizada a todos os funcionários de acordo com as certificações da ESET para a ISO 9001 e ISO 27001. Os procedimentos operacionais são adaptados às necessidades específicas de cada equipe, gerenciados dentro de espaços de trabalho designados e atualizados conforme necessário.
O monitoramento da conformidade com a política e os procedimentos disciplinares estão implementados para abordar e corrigir qualquer não conformidade com as políticas de segurança, reforçando o compromisso da ESET com a responsabilidade e melhoria contínua.
Para garantir a conformidade e eficácia contínuas, a ESET implementou uma estrutura de gerenciamento de risco, mantendo controles técnicos e organizacionais. O processo de gerenciamento de riscos da ESET envolve uma avaliação e gerenciamento abrangentes de riscos dentro de seu Sistema Integrado de Gerenciamento (baseado na ISO 9001 e ISO 27001). Isso inclui avaliar ativos, identificar requisitos de segurança, calcular riscos e selecionar estratégias de mitigação apropriadas. O Diretor de Segurança de Informações (CISO) supervisiona o processo geral de gerenciamento de riscos, garantindo relatórios regulares de riscos de segurança e métricas relacionadas ao gerenciamento executivo. Além disso, o gerenciamento de riscos de terceiros é rigorosamente aplicado por meio de avaliações de fornecedores, seguindo o padrão de segurança de contrato da ESET.
Conformidade com os Padrões da Indústria
A validação e a acreditação externas são críticas para organizações que dependem das capacidades e tecnologia da ESET para proteger seus dados e cumprir os requisitos regulatórios. Para detalhes, consulte a página de certificações da ESET.
Monitoramento de conformidade
A Política do Sistema de Gerenciamento Integrado estabelece o sistema de gerenciamento integrado, incluindo revisões e auditorias regulares.
Auditorias internas revisam regularmente a aderência às políticas e processos da ESET conforme descrito na Política de Auditoria Interna. A Política sobre Regulamentos Internos estipula a responsabilidade de monitorar regularmente a aplicação de regulamentos internos e ajustes relevantes, se necessário.
Revisões regulares e auditorias internas e externas são realizadas de acordo com um plano de auditoria anual e de três anos a longo prazo. As auditorias internas são realizadas por auditores independentes que revisam regularmente a aderência às políticas e processos da ESET ou aos padrões aplicáveis (por exemplo, ISO 9001, ISO 27001 e SOC2), dependendo do escopo de auditoria. As auditorias internas são planejadas e realizadas pelo menos anualmente. As conclusões da auditoria são coletadas e registradas em um sistema de ticketing dedicado, com respectivos proprietários atribuídos, que são responsáveis por abordar e resolver as não conformidades dentro de um prazo pré-definido. As conclusões de auditoria que exigem supervisão da gestão e decisões são revisadas em reuniões regulares de revisão da gestão.
Organização da segurança da informação
As responsabilidades de segurança da informação são alocadas alinhadas com as políticas de segurança da informação implementadas. Processos internos são identificados e avaliados para qualquer risco de modificação não autorizada ou não intencional ou uso indevido dos ativos de informação da ESET. Atividades perigosas ou sensíveis de processos internos adotam o princípio da das melhores práticas de segurança para mitigar o risco.
A segurança de informações é contada no gerenciamento de projeto usando a estrutura de gerenciamento de projeto aplicada, desde a concepção do projeto até sua conclusão.
O trabalho remoto e a troca de dados são cobertos pelo uso de uma política implementada em dispositivos móveis, que inclui o uso de uma forte proteção criptográfica de dados enquanto viajam por redes não confiáveis. Controles de segurança em dispositivos móveis são projetados para funcionar independentemente das redes internas e dos sistemas internos da ESET.
Segurança de recursos humanos
A ESET usa práticas padrão de recursos humanos, incluindo políticas projetadas para ajudar na segurança da informação. Essas práticas cobrem todo o ciclo de vida dos funcionários e são aplicáveis a todos os funcionários.
A empresa ESET requer que os funcionários da ESET passem por verificação de histórico e triagem durante sua integração na empresa; que assinem um acordo de não divulgação ou confidencialidade como parte do contrato de trabalho que os obriga a seguir políticas e padrões de segurança internos, proteger informações confidenciais da ESET e dados do cliente; a concluir o treinamento de conscientização de segurança da informação durante a integração na empresa como parte do programa de conformidade e conscientização da ESET.
Medidas técnicas
Gerenciamento de identidade e acesso
A Política de Gerenciamento de Acesso da ESET governa cada acesso à infraestrutura da ESET. Processos de controle de acesso na área de concessão, revogação, alteração do acesso e também revisão dos direitos de acesso concedidos aplicados para todos os níveis de infraestrutura, tecnologia, aplicativo ou ferramenta. O gerenciamento completo do acesso do usuário no nível do aplicativo é autônomo. O login único da identidade é governado por um provedor central de identidade, o que garante que um usuário possa acessar apenas o ambiente ou aplicativo autorizado.
Gerenciamento de usuário e acesso, processos e medidas técnicas para a deprovisão de acesso do usuário, provisão de acesso do usuário, revisão, remoção e ajuste de direitos de acesso são usados para gerenciar o acesso dos funcionários da ESET à infraestrutura e redes da ESET de acordo com os padrões de segurança, que incluem, mas não estão limitados a:
•Provisão de acesso com base no mínimo de privilégio com base na "necessidade de saber"
•Revisão regular do acesso do usuário
•Rescisão do acesso do usuário de acordo com a política de segurança
•Atribuição da conta única a todos
•Registro em relatório de tentativas de acesso do usuário, revisão e monitoramento
•Registro em relatório e revisão de acesso físico
•Implantação de autenticação multi-factor para acesso altamente privilegiado e administrativo
•Execução de tempo para sessões interativas depois de um período de inatividade especificado
Proteção de dados
Criptografia de dados
A ESET protege os dados em sua infraestrutura, e uma criptografia forte é usada para criptografar dados em repouso (incluindo dispositivos portáteis) e em trânsito. A implementação de criptografia segue regras definidas pelo padrão interno Criptografia. Os dados do cliente são retidos de acordo com os regulamentos relevantes, por exemplo, GDPR, diretiva NIS2 ou regulamentos da indústria e finanças.
Medidas implementadas:
•Uma autoridade de certificação geralmente confiável é usada para emitir certificados para serviços públicos da web
•O ESET PKI interno é usado para gerenciar chaves dentro da infraestrutura da ESET
•A criptografia nativa da plataforma CSP é ativada para garantir a proteção de dados em repouso para partes relevantes do processamento de dados ou persistência de dados no ambiente de nuvem (armazém de dados, backups).
•Uma criptografia forte (por exemplo, TLS) está implementada para criptografar dados em trânsito
Backup e recuperação de dados
Os backups são governados pela Política de Segurança da Informação na Operação das Tecnologias da Informação e Comunicação.
Todos os dados de configuração e implantação do portfólio da ESET são armazenados em repositórios protegidos e regularmente backupados da ESET para permitir a recuperação automatizada de uma configuração de ambiente. O processo regular de teste de recuperação de desastres é usado para verificar a restaurabilidade de backup de configuração dentro dos tempos esperados pelo negócio.
Os dados do Cliente da ESET são regularmente backupados de acordo com os padrões e regulamentos da indústria, operação de alta disponibilidade e requisitos de recuperabilidade contratuais. Os backups são protegidos contra a manipulação, e a validade do backup é regularmente testada por processos de recuperação de desastres.
Segurança de rede
A segmentação de rede é aplicada em todo o ambiente de rede da ESET. As redes são segregadas com base em critérios definidos e aplicadas usando VLANs em firewalls.
A ESET usa uma variedade de sistemas de proteção de fronteiras, incluindo firewalls L7, sistemas de detecção de intrusão e sistemas de prevenção de intrusão. Esses sistemas são configurados e mantidos para proteger pontos de acesso externos, garantindo que quaisquer tentativas não autorizadas de acessar a rede sejam detectadas e prevenidas.
O acesso remoto aos ativos internos é fornecido por meio de VPN do usuário ou site para site com funções e responsabilidades, requisitos de segurança e controles estipulados nas políticas internas da ESET e configurados de acordo com os padrões da indústria de segurança. As contas de usuário VPN são mantidas dentro do Active Directory e fazem parte do processo de provisão da conta de funcionário.
A ESET implementa e mantém controles de segurança de rede para proteger os dados que são processados, recebidos ou armazenados no ambiente de nuvem. As contas do CSP e a infraestrutura subjacente usam listas de controle de acesso da rede e grupos de segurança dentro da Rede Virtual do CSP para limitar o acesso a todos os recursos fornecidos. O acesso aos recursos de nuvem é apenas por meio de canais criptografados.
Endurecimento
A ESET usa o processo de proteção de sistemas para reduzir a possível vulnerabilidade a ataques. Isso envolve as seguintes técnicas e melhores práticas:
•ter uma imagem de ouro assinada que está sendo usada para instalar ou implantar um host ou container
•desligar serviços desnecessários
•adesão planejada automática e patch ad hoc de componentes críticos em caso de risco alto
•atualizações do sistema operacional antes de chegar ao seu Fim de Vida
•configurar configurações de segurança
•automação da infraestrutura e gerenciamento de aplicativos de forma repetível e consistente
•remover software desnecessário
•restringir o acesso aos recursos locais
•controles baseados em host como antivírus, detecção e resposta de endpoint e políticas de rede
A ESET usa uma abordagem centralizada para aplicar e verificar o endurecimento em componentes de ambientes de TI com o objetivo de minimizar a superfície de ataque, que é a soma de todos os potenciais pontos de entrada que os atacantes podem explorar. Para detalhes, consulte a parte a seguir deste documento.
Segurança de aplicativos
Práticas de desenvolvimento seguras
A ESET implementa práticas seguras de desenvolvimento de software através de sua Política de Segurança no Ciclo de Vida de Desenvolvimento de Software (SSDLC), que integra controles de segurança e gerenciamento de risco em todas as fases do desenvolvimento.
A política SSDLC define requisitos para:
•O código é escrito seguindo diretrizes de codificação seguras e revisado antes da fusão.
•Modelagem de ameaças e revisões de design são realizadas para novos recursos e mudanças importantes.
•Verificações automatizadas de segurança (análise estática, escaneamento de dependência e testes dinâmicos selecionados) executadas como parte de tubulações CI/CD
•Componentes de terceiros e de código aberto são rastreados e mantidos atualizados; um SBOM é mantido para todos os produtos lançados
•Os resultados de incidentes, testes de penetração e relatórios de recompensa de bug são revisados e alimentados de volta ao processo de desenvolvimento.
O objetivo da política SSDLC é garantir que todos os produtos de software da ESET sejam seguros, confiáveis e conformes com os padrões e regulamentos aplicáveis.
Gerenciamento de vulnerabilidade do produto
A ESET mantém um processo definido para identificar, avaliar e abordar vulnerabilidades em seus aplicativos e produtos ao longo de seu ciclo de vida.
O processo abrange problemas descobertos internamente e relatórios de fontes externas.
Como parte do gerenciamento de vulnerabilidade do produto, a ESET:
•Uso de ferramentas de escaneamento automatizado para escanear código fonte, dependências e construir artefatos para vulnerabilidades conhecidas
•Revise as descobertas manualmente para confirmar o impacto e a relevância antes de atribuir a correção
•Traçar e priorizar correções com base na gravidade, exploração e exposição do produto
•Realiza testes de segurança direcionados e repetições para verificar a correção
•Integra dados de vulnerabilidade no planejamento de desenvolvimento e lançamento, para que os problemas críticos sejam abordados antes do envio
•Aceita e lida com relatórios externos por meio de divulgação coordenada e de um programa público de recompensa por bug
•Assigna identificadores CVE para vulnerabilidades de produto confirmadas como parte de sua função como uma Autoridade de Numeração CVE (CNA).
•Aplicar patches e correções com base na gravidade da vulnerabilidade e no impacto comercial, seguindo um processo de triagem estruturado
oO processo de triagem está alinhado com a ISO/IEC 30111 (tratamento de vulnerabilidade) e com a ISO/IEC 29147 (divulgação de vulnerabilidade).
oA pontuação CVSS e fontes de inteligência externas como o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) do CISA são usados para orientar a priorização
oDecisões de correção final são tomadas de forma colaborativa pelas equipes de produto e segurança responsáveis
Esses processos garantem que as vulnerabilidades sejam gerenciadas de forma consistente, transparente e rastreável em todos os Produtos da ESET.
Teste de penetração
A ESET realiza testes de penetração regulares de seus Produtos como parte do processo geral de garantia de segurança do produto – dentro de nosso próprio Programa de Teste de Penetração. Os testes são realizados antes de lançamentos principais e em intervalos planejados para Produtos mantidos.
Os testes de penetração na ESET se concentram em:
•Verificar que os controles e mitigações de segurança implementados são eficazes
•Identificar vulnerabilidades potenciais que as ferramentas automatizadas podem não detectar
•Validar os resultados de esforços de correção anteriores
•Avaliação da superfície total de ataque e exposição a riscos dos Produtos lançados
Os testes são realizados em ambientes isolados por especialistas internos qualificados ou parceiros externos confiáveis usando metodologias da indústria reconhecidas (OWASP WSTG/MTG, NIST SP 800-115, PTES).
Os resultados são documentados, avaliados e rastreados através do mesmo processo de gerenciamento de vulnerabilidade usado para problemas relatados internamente e externamente.
Os resultados dos testes de penetração são alimentados diretamente em planos de melhoria do produto e no SSDLC, ajudando a garantir que as lições aprendidas sejam capturadas e que as fraquezas recorrentes sejam reduzidas ao longo do tempo.
Segurança operacional
Política de segurança da informação nas operações de TIC
Política de Segurança da Informação na Operação de TIC dentro da Companhia estabelece regras fundamentais de segurança relacionadas à operação de TIC de acordo com o padrão ISO 27001.
Política de Segurança da Informação na Operação das TIC define os requisitos de segurança para processos operacionais de TI e sua documentação, incluindo procedimentos operacionais, gerenciamento de mudanças, separação de funções e responsabilidades, separação de produção, ambiente de teste e desenvolvimento, serviços de TI de terceiros, planejamento de desempenho, projetos de TI, proteções de malware, backup, segurança de rede, segurança de mídia, requisitos de comércio eletrônico e monitor
Registro em relatório e auditoria
O registro e a auditoria em um sistema são realizados de acordo com padrões e diretrizes internos (Política sobre Monitoramento de Segurança e Gerenciamento de Incidentes de Segurança).
Relatórios e eventos da infraestrutura, sistema operacional, banco de dados, servidores de aplicativo e controles de segurança são coletados continuamente. A ESET usa uma plataforma central de gerenciamento de relatórios (SIEM) para proteger relatórios relevantes de modificação ou destruição não autorizadas. Os relatórios são processados ainda mais por equipes de TI e segurança interna para identificar anomalias operacionais e de segurança e incidentes de segurança de informações. Os dados no SIEM são retidos pelo tempo exigido por regulamentos e para caça a ameaças retrospectiva.
Monitoramento de Segurança e Resposta a Incidentes
O monitoramento de segurança e o gerenciamento de incidentes de segurança são definidos pela Política sobre Monitoramento de Segurança e Gerenciamento de Incidentes de Segurança.
Os esquemas da política
•responsabilidades e regras para o desenvolvimento, configuração adequada, proteção, armazenamento, análise, avaliação e retenção de relatórios de segurança e auditoria
•processo, funções e responsabilidades para o gerenciamento de incidentes de segurança
•prevenir incidentes de segurança
•minimizar o impacto de incidentes de segurança
•aprender com incidentes de segurança
•educar os funcionários sobre atividades de monitoramento, seu escopo e o papel dos funcionários no monitoramento e resposta a incidentes
Um Centro de Operações de Segurança (SOC) estabelecido, operando 24 horas por dia, tem o poder de monitorar continuamente o status de segurança da infraestrutura e aplicativos de TI e responder a incidentes de segurança.
O gerenciamento de incidentes de segurança da informação na ESET depende do Procedimento de Resposta a Incidentes definido. As funções dentro da resposta a incidentes são definidas e alocadas em várias equipes, incluindo TI, segurança, jurídico, recursos humanos, relações públicas e gerenciamento executivo. Os incidentes padrão são tratados pela equipe SOC. Para incidentes de segurança mais significativos, o Centro de Comando é informado. O Command Center, em cooperação com a equipe SOC, coordena a resposta a incidentes e envolve outras equipes para lidar com o incidente. A equipe SOC, apoiada pelos membros responsáveis da equipe de segurança interna, também é responsável pela coleta de provas e por lições aprendidas. A ocorrência e a resolução de incidentes são comunicadas às partes afetadas, incluindo clientes e parceiros. A equipe jurídica da ESET é responsável por notificar os corpos regulatórios se necessário, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) e com a Lei de Cibersegurança que transpõe a Diretiva de Segurança da Informação e Rede (NIS2).
Gerenciamento de patch
O Patch Management é usado como uma de várias atividades de mitigação para corrigir vulnerabilidades.
Patches de segurança são avaliados e aplicados com base na gravidade e risco de vulnerabilidades identificadas.
Um processo definido de triagem e priorização determina a ordem e linhas de tempo para a implantação do patch. Esse processo segue as diretrizes internas da ESET alinhadas com a ISO/IEC 30111. A pontuação CVSS e fontes externas de inteligência de ameaças, como o catálogo de Vulnerabilidades Exploráveis Conhecidas (KEV) do CISA, apoiam decisões baseadas em risco e priorização.
Todos os patches são verificados em ambientes controlados antes da implantação para a produção para garantir que resolvam o problema alvo sem impactar negativamente a estabilidade ou compatibilidade do sistema.
A implantação segue procedimentos estabelecidos de gerenciamento de mudanças que garantem rastreabilidade, responsabilidade e capacidade de retorno quando necessário.
As atividades de patch são monitoradas e revisadas continuamente para confirmar a eficácia, identificar sistemas desatualizados e impulsionar melhorias contínuas do processo.
A Guia de registro de aplicativos especifica as medidas técnicas e requisitos que regem o registro para todos os aplicativos desenvolvidos pela ESET.
Proteção contra malware e ameaças
A proteção contra malware (por software antivírus e EDR) está estipulada na Política de Segurança da Informação na Operação das Tecnologias da Informação e Comunicação. Os funcionários devem relatar imediatamente qualquer suspeita de uma infecção de malware ao SOC conforme descrito na Política de Segurança da Informação para funcionários da ESET.
Os requisitos para endpoints de funcionários estão descritos no padrão de segurança para estações de trabalho.
A ESET usa suas próprias ferramentas anti-malware enriquecidas por soluções de terceiros verificadas para proteger endpoints e cargas de trabalho em nuvem.
A equipe SOC realiza atividades de caça a ameaças com base na Política de Monitoramento de Segurança e Gerenciamento de Incidentes de Segurança. Os dados de ameaças (feeds) são coletados para o sistema SIEM, que é ingerido automaticamente para produzir inteligência de ameaças aplicada aos eventos no monitoramento de segurança.
Conformidade técnica
A equipe de Segurança Interna fornece e mantém vários padrões de segurança técnicos para infraestrutura, nuvem, componentes relacionados à web e melhores práticas para desenvolvedores e administradores de TI a seguir. Com base em padrões técnicos, a equipe de Segurança Interna prepara arquivos de linha de base de configuração que são usados pelas equipes de TI para a automação da implantação e execução de configurações seguras.
Além disso, as verificações de conformidade são realizadas por meio de uma ferramenta de avaliação de vulnerabilidade, sempre que possível. A ESET tem um Programa de Teste de Penetração estabelecido e os produtos, aplicativos e serviços desenvolvidos pela ESET estão sujeitos a testes de penetração regulares com base no plano do programa. Todas as descobertas são documentadas e reportadas às partes interessadas do Produto para garantir que sejam mitigadas o mais rápido possível.
Segurança física
A Política de Segurança Física e padrões de segurança física relacionados definem as regras para segurança física em torno de instalações de escritórios e centros de dados. Esta política estipula regras e procedimentos para:
•proteção das instalações da ESET
•controle de acesso físico
•segurança de escritórios, quartos e edifícios
•trabalhar em áreas seguras
•segurança do equipamento, cablagem e infraestrutura
Segurança do Data Center
Componentes da infraestrutura de TI estão fisicamente localizados dentro de vários centros de dados, portanto, a redundância é alcançada dentro de cada região.
O perímetro de segurança física é definido na Política de Segurança Física e padrões de segurança relacionados para escritórios e data centers – padrão de segurança física para data centers. A ESET definiu regras para a configuração de um perímetro de segurança e controles a serem aplicados no perímetro de segurança física. Controles chave – incluindo zonificação de segurança física e segregação, gerenciamento de acesso e visitantes, prevenção de incêndios e inundações, bem como CCTV e vigilância tripulada – são claramente definidos, implementados e monitorados continuamente. A segurança da DC é regularmente revisada por pessoal responsável e auditores externos.
A ESET conta com as medidas e controles físicos de segurança dos CSPs, portanto, revê regularmente os relatórios de conformidade correspondentes dos CSPs.
Controle de Acesso Físico
Os controles físicos de entrada são definidos na Política de Segurança Física e padrões de segurança relacionados para escritórios e data centers. As premissas são divididas em zonas protegidas com controles de acesso específicos.
A autenticação é gerenciada de acordo com as melhores práticas de segurança usando chaves, cartões de ID/acesso e PINs.
O monitoramento físico do acesso e a prevenção/detecção de acesso não autorizado são implementados. Todas as entradas são monitoradas por CCTV com um registro registrado. O perímetro também é monitorado por sensores de movimento ou de quebra de vidro (incluindo paredes de resistência fraca (ou seja, vidro ou parede seca), saídas de fogo e janelas).
Continuidade dos negócios e recuperação de desastres
A ESET mantém, revisiona regularmente, avalia e implementa melhorias em seu sistema de gerenciamento de continuidade dos negócios de acordo com a Política sobre Gerenciamento de Continuidade dos Negócios de acordo com a ISO 22301.
A ESET estabeleceu o Programa BCM, que prioriza todas as atividades dentro da Companhia e passa pela aprovação CISO de acordo com a Política BCM. O Programa BCM define atividades e atividades operacionais para mitigar riscos relacionados ao BCM, por exemplo, por meio de redundâncias ou replicação de funções e infraestrutura de TI.
Análises de Impacto de Negócios (BIA) com objetivos de continuidade de negócios definidos (RTO, RPO, MTD, prioridades de recuperação) estão sendo preparadas e revisadas. Os planos de recuperação de desastres (DRP) são revisados e testados de acordo com o Programa BCM. A estratégia de Business Continuity determina a abordagem para manter ativos empresariais críticos. Todos os resultados das atividades regulares de continuidade dos negócios servem como uma entrada para melhorias contínuas.
Gerenciamento de risco de terceiros
O monitoramento e revisão dos serviços de fornecedores são governados pela Política de Segurança da Informação nas Relações de Fornecedores. As revisões são realizadas trimestralmente e os resultados são armazenados na Avaliação do Fornecedor.
Documentação, ciclo de vida, atualizações e integrações
- Ver site para desktop
- Ajuda on-line ESET
- Fim da vida útil
- Versões mais recentes
- Registros de alterações
- APIs e integrações
- Atualizações do mecanismo de detecção